Umowa powierzenia przetwarzania danych osobowych

Prawo

dane

Kategoria

umowa

Klucze

audyt, bezpieczeństwo danych, cel przetwarzania, naruszenie danych, obowiązki administratora, obowiązki przetwarzającego, ochrona danych osobowych, ochrona prywatności, procedury audytów, przetwarzanie danych osobowych, rodo, umowa powierzenia, zakończenie umowy

Umowa powierzenia przetwarzania danych osobowych jest dokumentem, który określa warunki i zasady przetwarzania danych osobowych przez podmiot powierzający dane (administratora) dla podmiotu przetwarzającego dane. W umowie powinny być szczegółowo opisane prawa i obowiązki obu stron, zgodnie z wymogami RODO. Jest to istotny dokument mający na celu zapewnienie ochrony danych osobowych i praw osób, których dane dotyczą.

UMOWA

POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH USŁUG BHP1

Zawarta w dniu 15.03.2023 r. w Warszawie pomiędzy:

Zakład Produkcyjny "Alfa" Sp. z o.o. z siedzibą w Warszawie, przy ul. Produkcyjnej 12, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m. st. Warszawy w Warszawie, XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 000123456, NIP 123-45-67-890, reprezentowaną przez:

1. Jan Kowalski - Prezes Zarządu,

zwaną dalej Administratorem

a

"Bezpieczna Praca" Sp. z o.o. z siedzibą w Krakowie, przy ul. BHP 5, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie, X Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 000987654, NIP 987-65-43-210, reprezentowaną przez:

1. Anna Nowak - Prezes Zarządu,

zwaną dalej Przetwarzającym,

zwanymi dalej również łącznie "Stronami" lub każda z osobna "Stroną".

§1 OŚWIADCZENIA STRON

1. Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów rozporządzenia Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE - dalej RODO, powierzanych w rozumieniu i na zasadach określonych w przepisach RODO, które przetwarza zgodnie z obowiązującymi przepisami prawa.

2. Strony zawarły umowę o świadczenie usług w zakresie bezpieczeństwa i higieny pracy z dnia 10.02.2023 r. - dalej Umowa Podstawowa, w związku z wykonywaniem, której Administrator powierza na podstawie art. 28 RODO Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym Umową.

3. Przetwarzający oświadcza, iż dysponuje odpowiednimi środkami, w tym należytymi zabezpieczeniami umożliwiającymi przetwarzanie danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także informacjami wskazanymi w załączniku nr 1 do niniejszej umowy2.

1 Administrator może także skorzystać ze wzoru opartego na standardowych klauzulach umownych w zakresie powierzenia danych zatwierdzonych decyzją wykonawczą Komisji (UE) 2021/915, dostępnego w LEX ODO.

2 W załączniku wskazano przykładowe pytania do Przetwarzającego. Administrator powinien te pytania dobrać indywidualnie. Załącznik nr 1 powinien zostać przesłany Przetwarzającemu wcześniej, aby mógł się z nim zapoznać i go uzupełnić.

§2 CEL PRZETWARZANIA

Przetwarzający może przetwarzać dane osobowe wyłącznie w celu wykonywania usług wynikających z Umowy Podstawowej, w zakresie wykonywania zadań służby BHP.

§3 ZAKRES POWIERZANYCH DANYCH

1. Przetwarzanie obejmować będzie następujące dane osobowe: 1) imię i nazwisko; 2) PESEL; 3) stanowisko; 4) wykształcenie; 5) data urodzenia i miejsce urodzenia; 6) nr dowodu osobistego; 7) NIP; 8) dane kontaktowe (adres do korespondencji, adres e-mail, numer telefonu); 9) adres zamieszkania; 10) informacje o stanie zdrowia; 11) informacje o wypadkach przy pracy; 12) dokumentacja medyczna, w tym orzeczenia lekarskie, wyniki badań lekarskich, skierowania lub informacje o chorobach zawodowych, dokumentacja powypadkowa lub informacje o wypadkach przy pracy, dokumentacja rehabilitacyjna; 13) informacje dodatkowe, jak alergie, niepełnosprawności, grupa krwi, itp.

2. Administrator oświadcza, że charakter danych osobowych powierzanych niniejszą Umową, obejmuje szczególne kategorie danych osobowych w rozumieniu art. 9 ust. 1 RODO. Przetwarzający stosuje szczególne ograniczenia lub dodatkowe zabezpieczenia dla ochrony danych szczególnych kategorii.

§4 KATEGORIE POWIERZANYCH DANYCH

1. Administrator powierza Przetwarzającemu dane osobowe następujących kategorii osób: pracowników, byłych pracowników, kandydatów do pracy, zleceniobiorców, w tym osoby wykonujące pracę na podstawie umowy o dzieło, stażystów, praktykantów, wolontariuszy, osób uczących się.

§5 OBOWIĄZKI PRZETWARZAJĄCEGO

1. Przetwarzający przetwarza dane osobowe wyłącznie w celu realizacji obowiązków wynikających z Umowy Podstawowej lub zgodnie z udokumentowanymi poleceniami i instrukcjami Administratora.

2. Przepisu ust. 1 nie stosuje się, jeżeli obowiązek przetwarzania danych osobowych nakładają na Przetwarzającego przepisy prawa. W takiej sytuacji informuje on Administratora przed rozpoczęciem przetwarzania o tym obowiązku, chyba że przepisy te zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny.

3. Przetwarzający nie przekazuje danych osobowych do państwa trzeciego lub organizacji międzynarodowej (czyli poza Europejski Obszar Gospodarczy - dalej EOG).

4. Jeżeli Przetwarzający ma zamiar lub obowiązek przekazywać dane osobowe poza EOG, informuje o tym Administratora, w celu umożliwienia Administratorowi podjęcia decyzji i działań niezbędnych do zapewnienia zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania.

5. Przetwarzający zapewnia ochronę danych osobowych i podejmuje odpowiednie środki techniczne i organizacyjne zapewniające właściwy stopień bezpieczeństwa przetwarzania danych osobowych uwzględniający stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

6. Przetwarzający zobowiązuje się do pomocy Administratorowi w zakresie wywiązywania się z obowiązków wymienionych w art. 32-36 RODO, tj. w szczególności dotyczących wdrażania odpowiednich środków technicznych i organizacyjnych, zgłaszania naruszenia ochrony danych osobowych przez Administratora organowi nadzorczemu oraz osobie, której dane dotyczą, co oznacza udzielenie Administratorowi na każde jego żądanie i we wskazanym przez niego terminie, wszelkich wyjaśnień i innych form wsparcia, w tym informacji o stanie faktycznym, które pomogą Administratorowi w spełnieniu jego obowiązków wynikających z RODO.

7. Przetwarzający zobowiązuje się do ograniczenia dostępu do danych osobowych wyłącznie do osób, których dostęp do danych osobowych jest niezbędny dla realizacji Umowy i posiadających odpowiednie upoważnienie, a także zobligowanych do zachowania poufności.

8. Przetwarzający niezwłocznie poinformuje Administratora o wszelkich czynnościach z własnym udziałem w sprawach dotyczących ochrony danych osobowych prowadzonych w szczególności przez organ nadzorczy lub organy ścigania.

9. W przypadku otrzymania od osoby, której dane dotyczą żądania na podstawie art. 15-22 RODO, Przetwarzający przekazuje je niezwłocznie Administratorowi, a także wspiera go w realizowaniu praw osób, wynikających z przepisów RODO.

§6 REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA

1. Przetwarzający zobowiązuje się do prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych osobowych - dalej Rejestr, dokonywanych w imieniu Administratora.

2. Rejestr zawiera następujące informacje: a) imię i nazwisko / nazwę i dane kontaktowe Przetwarzającego oraz Administratora, a także ich przedstawicieli, jeżeli ma to zastosowanie zgodnie z RODO oraz inspektora ochrony danych, jeśli został wyznaczony; b) kategorie przetwarzanych danych osobowych; c) kategorie osób, których dane dotyczą; d) kategorie odbiorców danych osobowych lub kategorie odbiorców oraz nazwę tych państw lub podmiotów, a w przypadku przekazania danych do państwa trzeciego, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację potwierdzającą zapewnienie odpowiednich zabezpieczeń.

§7 PODPOWIERZENIE DANYCH

1. Przetwarzający może powierzyć konkretne operacje przetwarzania danych osobowych - dalej podpowierzenie w drodze pisemnej umowy - dalej Umowa Podpowierzenia innym podmiotom przetwarzającym - dalej Podprzetwarzający, pod warunkiem wyrażenia uprzedniej zgody przez Administratora.

2. Administrator wyraża zgodę, aby Przetwarzający podpowierzył wykonywanie zadań wynikających z Umowy Podprzetwarzającemu, pod warunkiem, że: a) Przetwarzający powiadomi uprzednio, z wyprzedzeniem co najmniej 7 dni Administratora, drogą elektroniczną lub w formie pisemnej, o swoim zamiarze Podpowierzenia, wskazując dane identyfikacyjne podmiotu Podprzetwarzającego, zakres podpowierzenia i cel podpowierzenia, a także zapewnienia w zakresie bezpieczeństwa, jakie daje Podprzetwarzający w odniesieniu do powierzonych mu danych, dając mu możliwość wyrażenia zgody lub sprzeciwu na Podpowierzenie danych; b) zakres podpowierzenia i cel podpowierzenia nie będzie szerszy niż wynikający z niniejszej Umowy; c) kategorie przetwarzanych danych i okres przetwarzania, charakter i cel przetwarzania, kategorie osób, których dane dotyczą oraz prawa i obowiązki Administratora zostaną zachowane w umowie Podpowierzenia odpowiednio do warunków, opisanych w Umowie; d) podpowierzenie będzie niezbędne dla realizacji celów związanych z procesami lub projektami wynikającymi z Umowy; e) podpowierzenie nie naruszy interesów Administratora; f) umowa Podpowierzenia zostanie zawarta z Podprzetwarzającym na piśmie, zgodnie z obowiązującymi przepisami dotyczącymi powierzania przetwarzania danych osobowych z zastrzeżeniem, że wszelkie obowiązki Przetwarzającego, wynikające z Umowy, Przetwarzający zastosuje odpowiednio do Podprzetwarzającego w Umowie Podpowierzenia;

3. Przetwarzający w umowie Podpowierzenia zobowiąże Podprzetwarzających do przestrzegania przy przetwarzaniu powierzonych danych obowiązków dotyczących ochrony danych na poziomie, co najmniej określonym w niniejszej Umowie, a także na wniosek Administratora przekazuje mu kopię umowy z Podprzetwarzającym dane. W zakresie niezbędnym do ochrony tajemnicy handlowej lub innych informacji poufnych, w tym danych osobowych, Przetwarzający może utajnić tekst umowy przed jej udostępnieniem.

4. Przetwarzający nie ma prawa przekazać Podprzetwarzającemu całości wykonania Umowy.

5. Jeżeli Podprzetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego Podprzetwarzającego spoczywa na Przetwarzającym.

6. Przetwarzający uzgadnia z Podprzetwarzającym klauzulę dotyczącą beneficjenta będącego osobą trzecią, zgodnie z którą to klauzulą - jeżeli Przetwarzający przestanie istnieć faktycznie lub formalnie lub stanie się niewypłacalny - Administrator ma prawo rozwiązać umowę z Podprzetwarzającym i nakazać mu usunięcie lub zwrot danych osobowych.

§8 AUDYT

1. Administrator ma prawo do kontroli sposobu wykonywania niniejszej Umowy przez Przetwarzającego odnośnie zobowiązań, o których mowa w Umowie. Warunkiem przeprowadzenia kontroli jest zawiadomienie Przetwarzającego w terminie nie krótszym niż 10 dni przed planowanym terminem jej przeprowadzenia.

2. Przetwarzający umożliwi Administratorowi lub osobie przez niego upoważnionej przeprowadzanie kontroli.

3. Uprawnienie do przeprowadzenia kontroli przysługuje Administratorowi odpowiednio w stosunku do Podprzetwarzającego, w przypadku powierzenia przez Przetwarzającego przetwarzania danych osobowych Podprzetwarzajacemu.

4. Przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszej umowie oraz RODO, a także umożliwia Administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

5. Przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§9 NARUSZENIE OCHRONY DANYCH

1. Przetwarzający oświadcza, że w razie stwierdzenia naruszenia ochrony danych osobowych niezwłocznie, jednak nie później niż w terminie 24 godzin od stwierdzenia naruszenia, poinformuje o tym Administratora.

2. Zgłoszenie, o którym mowa w ust. 1 musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, które zostały naruszone; b) imię i nazwisko oraz dane kontaktowe lub informacje o możliwości skontaktowania się z inspektorem ochrony danych, od którego można uzyskać więcej informacji; c) opisywać prawdopodobne konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki podjęte lub proponowane przez Przetwarzającego w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

3. W celu realizacji obowiązków, o których mowa w ust. 1 i 2, Przetwarzający jest zobowiązany do dokumentowania wszelkich naruszeń ochrony danych osobowych, które pomogą Administratorowi wyjaśnić okoliczności naruszenia, w tym jego przyczyny, skutki, charakter, zakres, kontekst i cele przetwarzania, osoby dotknięte naruszeniem, osoby odpowiedzialne za naruszenie.

4. Przetwarzający wspiera Administratora w wywiązywaniu się z obowiązków wynikających z art. 33 i 34 RODO.

§ 10 ZAKOŃCZENIE UMOWY

1. Przetwarzający po zakończeniu realizacji usług wynikających z Umowy Podstawowej zobowiązany jest do niezwłocznego zwrotu powierzonych danych osobowych oraz do usunięcia wszystkich ich istniejących kopii, sporządzonych na potrzeby bieżącej pracy, bądź na wyraźne żądanie Administratora - dokonać usunięcia powierzonych danych osobowych, zamiast ich zwrotu, chyba, że przepisy prawa nakazują przechowywanie danych osobowych.

2. Przetwarzający dokona usunięcia powierzonych danych osobowych w terminie 10 dni od dnia zakończenia realizacji usług.

3. Po wykonaniu zobowiązania, o którym mowa w ust. 2, Przetwarzający, w terminie 7 dni, złoży Administratorowi pisemne oświadczenie o usunięciu wszystkich powierzonych danych osobowych.

4. Na żądanie Administratora, Przetwarzający ma obowiązek przedstawić w terminie 30 dni protokół zniszczenia nośników potwierdzający fakt zniszczenia danych osobowych.

§ 11 ODPOWIEDZIALNOŚĆ

1. Przetwarzający odpowiada za szkody majątkowe i niemajątkowe jakie powstały wobec Administratora lub osób, których dane dotyczą w wyniku przetwarzania danych osobowych niezgodnego z Umową lub obowiązkami nałożonymi przez RODO lub inne przepisy dotyczące ochrony danych osobowych.

2. Administrator odpowiada za szkody majątkowe i niemajątkowe, jakie powstały wobec osób, których dane dotyczą w wyniku przetwarzania danych naruszającego RODO lub inne przepisy dotyczące ochrony danych osobowych.

3. Strony są zwolnione z odpowiedzialności wynikającej z ust. 1 i 2, jeżeli udowodnią, że zdarzenie, które doprowadziło do powstania szkody, jest przez nie niezawinione.

4. Jeżeli w tym samym przetwarzaniu biorą udział obie Strony i są odpowiedzialne za szkodę spowodowaną przetwarzaniem zgodnie z ust. 1 i 2, ponoszą one odpowiedzialność solidarną.

5. Strona, która zapłaciła odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od drugiej Strony, która uczestniczyła w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponosi odpowiedzialność, zgodnie z warunkami określonymi w ust. 1 i 2.

6. Przetwarzający ponosi odpowiedzialność za działania lub zaniechania Podprzetwarzającego.

§ 12 CZAS OBOWIĄZYWANIA UMOWY

1. Umowa została zawarta na czas obowiązywania Umowy Podstawowej.

2. Administrator ma prawo rozwiązać Umowę w trybie natychmiastowym, gdy Przetwarzający: a) wykorzystuje dane osobowe w sposób niezgodny z Umową, b) nie zaprzestanie naruszać przepisów o ochronie danych osobowych, na co Administrator zwróci Przetwarzającemu uwagę na piśmie, a Przetwarzający w wyznaczonych przez Administrator terminie nie usunie wskazanych naruszeń.

§ 13 POSTANOWIENIA KOŃCOWE

1. W razie sprzeczności pomiędzy postanowieniami niniejszej Umowy Powierzenia a Umowy Podstawowej, pierwszeństwo mają postanowienia Umowy Powierzenia.

2. Kwestie dotyczące przetwarzania danych osobowych pomiędzy Administratorem a Przetwarzającym będą regulowane poprzez zmiany niniejszej Umowy lub w wykonaniu jej postanowień.

3. W sprawach nieuregulowanych niniejszą umową mają zastosowanie przepisy Kodeksu cywilnego, RODO oraz ustawy o ochronie danych osobowych.

4. Zmiana niniejszej Umowy może nastąpić tylko w formie pisemnego aneksu.

5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

§ 14

1. Umowa wchodzi w życie z dniem podpisania

Administrator                          Przetwarzający

podpis                                   podpis

Załącznik nr 1

Oświadczenia Przetwarzającego3:

1. Osoby upoważnione otrzymały pisemne upoważnienia do przetwarzania danych, w których został określony zakres uprawnień przez te osoby danych.

2. Osoby upoważnione zostały zobligowane do zachowania poufności.

3. Dostęp do danych powierzonych danych osobowych mają tylko uprawnieni pracownicy oraz współpracownicy, zgodnie z zasadą „wiedzy koniecznej”.

4. Została opracowana i wdrożona Polityka Bezpieczeństwa Informacji.

5. Zostały wdrożone procedury bezpieczeństwa IT.

6. Zostały wdrożone procedury fizycznego zabezpieczenia danych.

7. Zostały zapewnione odpowiednie szafy pancerne do ochrony nośników papierowych i elektronicznych.

8. Zostały wdrożone procedury tworzenia kopii zapasowych.

9. Dokumentacja papierowa podlega archiwizacji.

10. Przetwarzający przeprowadza regularne szkolenia z zakresu RODO.

11. Przetwarzający jest w stanie wykazać zgodność przetwarzania z postanowieniami niniejszej umowy powierzenia.

12. Osoby upoważnione przechodzą cykliczne szkolenia z bezpieczeństwa informacji.

13. Zostały wdrożone zapory sieciowe oraz oprogramowanie antywirusowe i antyszpiegowskie jak np. Kaspersky, ESET, Bitdefender.

Pytania:

1. Czy Procesor sprawdza swoich podwykonawców w zakresie zapewnienia należytej staranności przy przetwarzaniu powierzonych im danych? W jaki sposób? Odpowiedź: Tak, poprzez weryfikację certyfikatów bezpieczeństwa, audyty oraz kontrolę umów powierzenia.

2. Proszę wskazać jakie środki ochrony fizycznej w budynku oraz pomieszczeniach, w tym obszarów przetwarzania danych jak serwerownie, czy archiwa zostały zastosowane. Odpowiedź: Kontrola dostępu, monitoring wizyjny, system alarmowy, zabezpieczenie okien i drzwi, kontrola wejść i wyjść.

3. Proszę wskazać środki ochrony zastosowane do ochrony danych przetwarzanych w formie elektronicznej, które są wykorzystywane przez Procesora. Odpowiedź: Szyfrowanie danych, zapory sieciowe, oprogramowanie antywirusowe, systemy uwierzytelniania, regularne tworzenie kopii zapasowych.

4. Czy każdy użytkownik otrzymuje imienny identyfikator do systemów informatycznych? Odpowiedź: Tak.

5. Czy Procesor zapewnił procedury zarządzania dostępami oraz hasłami do systemów informatycznych służących do przetwarzania danych osobowych? Proszę opisać. Odpowiedź: Tak, hasła muszą spełniać określone kryteria bezpieczeństwa, dostęp jest nadawany na podstawie ról i obowiązków, regularna zmiana haseł.

6. Czy zostały wprowadzone zasady przesyłania danych osobowych przez użytkowników drogą elektroniczną? Proszę opisać. Odpowiedź: Tak, szyfrowanie wiadomości, stosowanie bezpiecznych protokołów komunikacyjnych, ograniczenia w przesyłaniu danych osobowych.

3 Przykładowe środki ochrony.

7. Czy Procesor zapewnił środki niezbędne do niszczenia nośników danych osobowych (papierowe oraz elektroniczne), a także procedury ich niszczenia? Proszę opisać. Odpowiedź: Tak, niszczarki do dokumentów, demagnetyzacja dysków twardych, oprogramowanie do bezpiecznego usuwania danych.

8. Czy tworzone kopie zapasowe są przechowywane w innej lokalizacji niż serwer, na którym znajduje się system? Odpowiedź: Tak.

9. Czy stosuje się szyfrowanie powierzonych przetwarzanych danych? Odpowiedź: Tak.

10. Czy zapewniono zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie naruszenia ochrony danych osobowych? Jaki jest czas przywrócenia danych z kopii zapasowej z systemu CRM? Odpowiedź: Tak, czas przywrócenia danych z kopii zapasowej wynosi do 24 godzin.

11. Jaki przyjęto zakres oraz częstotliwość tworzenia kopii zapasowych dla systemu CRM? Proszę określić procedurę tworzenia kopii. Odpowiedź: Kopie zapasowe są tworzone codziennie. Procedura obejmuje pełną kopię raz w tygodniu i kopie przyrostowe w pozostałe dni.

12. Czy Procesor jest w stanie wspierać Administratora w realizowaniu praw osób, których dane dotyczą, jeżeli wpłynie takie żądanie? Odpowiedź: Tak.

13. Czy powierzone dane będą przetwarzane jedynie na terenie EOG? Odpowiedź: Tak.

Podsumowując, Umowa powierzenia przetwarzania danych osobowych jest niezbędnym narzędziem w relacjach między podmiotami przetwarzającymi dane osobowe. Zapewnia klarowne określenie obowiązków i odpowiedzialności stron oraz umożliwia spełnienie wymagań przepisów dotyczących ochrony danych osobowych.